PROBLEME EXPLORER EXE

[angelique]

decoche, l'entouré en rouge:

 

http://imagik.fr/view-rl/77700

[xwp1]

ok c'est bien ce qu'il me semblait mais je n'ai pas de peit icone pres de l'horloge

je vais verifier autrement

[angelique]

clic desactivate là alors

 

http://imagik.fr/view-rl/77711

[xwp1]

ok c'est fait merci

je reprend le processus

[xwp1]

voila donc le compte rendu

 

 

ComboFix 08-07-20.A0 - Martine 2008-07-21 17:24:57.1 - NTFSx86

Microsoft Windows XP Professionnel 5.1.2600.2.1252.1.1036.18.91 [GMT 2:00]

Endroit: C:\Documents and Settings\Martine\Bureau\ComboFix.exe

Command switches used :: C:\Documents and Settings\Martine\Bureau\CFScript.txt

* Création d'un nouveau point de restauration

 

AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !!

 

FILE ::

C:\WINDOWS\system32\jkkJawxv.dll

C:\WINDOWS\system32\vxwaJkkj.ini2

.

 

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))

.

 

C:\Program Files\Navilog1

C:\Program Files\Navilog1\Backupnavi\succiis.dat

C:\Program Files\Navilog1\Backupnavi\SUCCIIS.EXE-1899B99B.pf

C:\Program Files\Navilog1\Backupnavi\succiis.exe

C:\Program Files\Navilog1\Backupnavi\succiis_nav.dat

C:\Program Files\Navilog1\Backupnavi\succiis_navps.dat

C:\Program Files\Navilog1\Safebackup\backup_registry.dat

C:\Program Files\Navilog1\Safebackup\HKCU_Run.reg

C:\Program Files\Navilog1\Safebackup\HKLM_Arpcache.reg

C:\Program Files\Navilog1\Safebackup\HKLM_Run.reg

C:\Program Files\Navilog1\Safebackup\HKLM_Uninstall.reg

C:\VundoFix Backups

C:\WINDOWS\system32\jkkJawxv.dll

C:\WINDOWS\system32\vxwaJkkj.ini

C:\WINDOWS\system32\vxwaJkkj.ini2

 

.

((((((((((((((((((((((((((((( Fichiers cr‚‚s 2008-06-21 to 2008-07-21 ))))))))))))))))))))))))))))))))))))

.

 

2008-07-21 15:46 . 2008-07-21 15:46 <REP> d-------- C:\Deckard

2008-07-21 14:36 . 2008-07-21 14:36 <REP> d-------- C:\Documents and Settings\LocalService\Application Data\AdobeUM

2008-07-21 10:39 . 2008-07-21 10:39 <REP> d-------- C:\Program Files\Trend Micro

2008-07-20 20:39 . 2008-07-20 20:39 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Yahoo! Companion

2008-07-20 20:20 . 2008-07-20 20:22 3,739 --a------ C:\WINDOWS\imsins.BAK

2008-07-20 16:34 . 2008-07-20 16:35 <REP> d-------- C:\Program Files\Yahoo!

2008-07-20 16:32 . 2008-07-20 16:37 <REP> d-------- C:\Program Files\CCleaner

2008-07-20 16:27 . 2008-07-20 16:27 <REP> d-------- C:\Program Files\Spybot - Search & Destroy

2008-07-20 16:27 . 2008-07-20 18:24 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy

2008-07-20 13:51 . 2008-07-20 13:51 <REP> d-------- C:\Program Files\Avira

2008-07-20 13:51 . 2008-07-20 13:51 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Avira

2008-07-20 11:57 . 2008-07-20 11:57 268 --ah----- C:\sqmdata07.sqm

2008-07-20 11:57 . 2008-07-20 11:57 244 --ah----- C:\sqmnoopt07.sqm

2008-07-20 11:26 . 2008-07-20 11:35 <REP> d-------- C:\WINDOWS\system32\NtmsData

2008-07-20 09:23 . 2008-07-20 09:23 268 --ah----- C:\sqmdata06.sqm

2008-07-20 09:23 . 2008-07-20 09:23 244 --ah----- C:\sqmnoopt06.sqm

2008-07-20 09:15 . 2008-07-20 09:15 268 --ah----- C:\sqmdata05.sqm

2008-07-20 09:15 . 2008-07-20 09:15 244 --ah----- C:\sqmnoopt05.sqm

2008-07-19 12:29 . 2008-07-19 12:29 268 --ah----- C:\sqmdata04.sqm

2008-07-19 12:29 . 2008-07-19 12:29 244 --ah----- C:\sqmnoopt04.sqm

2008-07-19 11:11 . 2008-07-19 11:11 268 --ah----- C:\sqmdata03.sqm

2008-07-19 11:11 . 2008-07-19 11:11 244 --ah----- C:\sqmnoopt03.sqm

2008-07-18 09:32 . 2008-07-18 09:32 268 --ah----- C:\sqmdata02.sqm

2008-07-18 09:32 . 2008-07-18 09:32 244 --ah----- C:\sqmnoopt02.sqm

2008-07-17 16:13 . 2008-07-17 16:13 268 --ah----- C:\sqmdata01.sqm

2008-07-17 16:13 . 2008-07-17 16:13 244 --ah----- C:\sqmnoopt01.sqm

2008-07-10 17:21 . 2008-07-20 19:45 <REP> d-------- C:\Documents and Settings\Martine\Application Data\U3

2008-07-09 10:26 . 2008-07-21 08:51 <REP> d-------- C:\Program Files\eMule

2008-07-09 01:14 . 2008-07-09 01:14 268 --ah----- C:\sqmdata00.sqm

2008-07-09 01:14 . 2008-07-09 01:14 244 --ah----- C:\sqmnoopt00.sqm

 

.

(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))

.

2008-07-21 15:07 --------- d-----w C:\Documents and Settings\Martine\Application Data\utorrent

2007-05-01 03:54 3,534,076 -c--a-w C:\Program Files\eMule0.47c-Installer.exe

.

 

------- Sigcheck -------

 

2006-03-09 10:25 578048 0df75fb73f705b011630159a43d7c354 C:\WINDOWS\system32\user32.dll

 

2006-04-12 20:13 667648 241dbc4c2714b2f39afded49459ed420 C:\WINDOWS\system32\wininet.dll

 

2006-02-14 21:56 359808 667192a11db19f36624119c0dd4de4f2 C:\WINDOWS\system32\drivers\tcpip.sys

 

2006-05-09 10:11 2058880 73fa9c95d235844a36968c7852c7dbdd C:\WINDOWS\system32\ntkrnlpa.exe

 

2006-03-09 10:25 2181376 63729dd0f2aae36cc52b89c05505146c C:\WINDOWS\system32\ntoskrnl.exe

 

2006-03-09 10:25 57856 da81ec57acd4cdc3d4c51cf3d409af9f C:\WINDOWS\system32\spoolsv.exe

.

((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))

.

.

REGEDIT4

*Note* les ‚l‚ments vides & les ‚l‚ments initiaux l‚gitimes ne sont pas list‚s

 

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"MsnMsgr"="C:\Program Files\MSN Messenger\MsnMsgr.Exe" [2007-01-19 12:55 5674352]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"NvCplDaemon"="NvQTwk" [X]

"00THotkey"="C:\WINDOWS\system32\00THotkey.exe" [2003-05-23 14:20 253952]

"TosHKCW.exe"="C:\Program Files\TOSHIBA\Wireless Hotkey\TosHKCW.exe" [2002-01-22 18:20 49152]

"RemoteControl"="C:\Programs\CyberLink\PowerDVD\PDVDServ.exe" [2005-12-07 22:57 30208]

"LanguageShortcut"="C:\Programs\CyberLink\PowerDVD\Language\Language.exe" [2006-04-13 11:09 49152]

"H2O"="C:\Program Files\SyncroSoft\Pos\H2O\cledx.exe" [2007-12-11 05:59 307200]

"avgnt"="C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-06-12 14:28 266497]

"000StTHK"="000StTHK.exe" [2001-06-23 20:28 24576 C:\WINDOWS\system32\000StTHK.exe]

"nwiz"="nwiz.exe" [2002-04-19 15:13 364544 C:\WINDOWS\system32\nwiz.exe]

"Tpwrtray"="TPWRTRAY.EXE" [2003-01-22 14:18 184320 C:\WINDOWS\system32\TPWRTRAY.EXE]

"SxgTkBar"="SxgTkBar.exe" [2001-07-11 09:29 53248 C:\WINDOWS\system32\Sxgtkbar.exe]

 

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]

"MemCheckBoxInRunDlg"= 1 (0x1)

"NoSMBalloonTip"= 1 (0x1)

"NoDesktopCleanupWizard"= 1 (0x1)

"NoWelcomeScreen"= 1 (0x1)

 

[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]

"MemCheckBoxInRunDlg"= 1 (0x1)

"NoSMBalloonTip"= 1 (0x1)

"NoDesktopCleanupWizard"= 1 (0x1)

"NoWelcomeScreen"= 1 (0x1)

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]

"vidc.i420"= i420vfw.dll

"vidc.xvid"= xvid.dll

"vidc.yv12"= yv12vfw.dll

 

[HKEY_LOCAL_MACHINE\software\microsoft\security center]

"AntiVirusDisableNotify"=dword:00000001

"UpdatesDisableNotify"=dword:00000001

"DisablePagingExecutive"=dword:00000001

"SecondLevelDataCache"=dword:00000200

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]

"DisableUnicastResponsesToMulticastBroadcast"= 0 (0x0)

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\system32\\sessmgr.exe"=

"C:\\Program Files\\eMule\\emule.exe"=

"C:\\Program Files\\MSN Messenger\\msnmsgr.exe"=

"C:\\Program Files\\MSN Messenger\\livecall.exe"=

"C:\\Programs\\utorrent\\utorrent.exe"=

 

R3 CLEDX;Team H2O CLEDX service;C:\WINDOWS\system32\DRIVERS\cledx.sys [2005-05-09 21:08]

R3 L6DP;L6DP;C:\WINDOWS\system32\Drivers\l6dp.sys [2006-07-27 03:09]

R3 SOFTXG;YAMAHA XG WDM SoftSynthesizer;C:\WINDOWS\system32\drivers\sxgxgwdm.sys [2001-10-05 09:40]

S3 L6TPortA;Service - Line 6 TonePort UX1;C:\WINDOWS\system32\Drivers\L6TPortA.sys [2006-07-27 03:06]

S3 RTLWUSB;NETGEAR WG111v2 54Mbps Wireless USB 2.0 Adapter NT Driver;C:\WINDOWS\system32\DRIVERS\wg111v2.sys [2006-03-27 17:53]

 

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\F]

\Shell\AutoRun\command - F:\LaunchU3.exe -a

.

**************************************************************************

 

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2008-07-21 17:29:37

Windows 5.1.2600 Service Pack 2 NTFS

 

Balayage processus cach‚s ...

 

Balayage cach‚ autostart entries ...

 

Balayage des fichiers cach‚s ...

 

Scan termin‚ avec succŠs

Les fichiers cach‚s: 0

 

**************************************************************************

.

--------------------- DLLs a charg‚ sous des processus courants ---------------------

 

PROCESS: C:\WINDOWS\system32\winlogon.exe

-> C:\WINDOWS\system32\RtlGina2.dll

.

------------------------ Other Running Processes ------------------------

.

C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe

C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\Program Files\Cyberlink\Shared files\RichVideo.exe

C:\Program Files\NETGEAR\WG111v2\WG111v2.exe

.

**************************************************************************

.

Temps d'accomplissement: 2008-07-21 17:33:30 - machine was rebooted [Martine]

ComboFix-quarantined-files.txt 2008-07-21 15:33:19

 

Pre-Run: 4,361,379,840 octets libres

Post-Run: 4,313,047,040 octets libres

 

157

[angelique]

 

• desinstalle ComboFix en copiant_collant la ligne ci dessous encadrée dans executer et valide la, patiente le temps de la desinstallation de ComboFix.

 

ComboFix /u

 

supprime si restant c:\qoobox , c:\bug , c:\combofix , et la sauvegarde de HijackThis , le dossier en gras

C:\Program Files\Trend Micro\HijackThis\backups

 

• réactive le guard d'antivir de maniere inverse que precedemment

 

• Finir le nettoyage :

- Nettoye ton ordinateur avec ATFCeaner:

 

telecharge sur ton bureau:

 

- AtfCleaner --> http://www.atribune.org/ccount/click.php?id=1

 

ATF Cleaner

Double-clique ATF-Cleaner.exe afin de lancer le programme.

Sous l'onglet Main, choisis : Select All

Clique sur le bouton Empty Selected, patiente le temp du nettoyage, ok

Si tu utilises le navigateur Firefox :

Clique Firefox au haut et choisis : Select All

Clique le bouton Empty Selected

Patiente le temp du nettoyage

NOTE : Si tu veux conserver tes mots de passe sauvegardés, clique No à l'invite.

Si tu utilises le navigateur Opera :

Clique Opera au haut et choisis : Select All

Clique le bouton Empty Selected

NOTE : Si tu veux conserver tes mots de passe sauvegardés, clique No à l'invite.

Clique Exit, du menu prinicipal, afin de fermer le programme.

Le prochain démarrage du PC sera un peu plus long , le prefetch ayant été vidé.

 

- Désactive puis réactive la restauration du système :

- Mode d'emploi Windows XP: http://service1.symantec.com/SUPPORT/INTER...020830101856924

 

• tu pourras réaliser un scan antivir pour y debusquer d'eventuels intrus inactifs car je vois que tu fais partie de la secte des eMuleriens !

 

Ce qui suit n'est pas pour faire la morale, mais vise plutôt à te faire prendre conscience des risques liés à l'utilisation de ce type de programmes.

Fais gaffe avec l'utilisation des logiciels P2P!! ce sont les principaux vecteurs d'infection avec les craks/keygens etc...! Pour t'en convaincre, lis ces deux topics très clairs:

le premier est de Malekal et concerne les cracks => http://forum.malekal.com/viewtopic.php?f=33&t=893

le second de Tesgaz concerne le P2P en général => http://forum.zebulon.fr/prevention-le-p2p-...ces-t85544.html

Les infections véhiculées pas le p2p sont une menace réelle!! par exemple le vers Worm.Win32_Sumom-A qui est un ver de messagerie instantanée et de réseaux peer-to-peer,se met dans le dossier incoming/Shared afin d'être expédié à toutes les personnes qui partagent tes téléchargements...=> http://www.virustraq.com/info_virus/10134/details/

Maintenant que tu sais, c'est à toi de voir... est ce que ca vaut le coup de risquer une grosse infection(et mettre tes données en peril)?

 

==== as tu le meme soucis que celui d'origine??? ====

[xwp1]

oui tu ass raison pour emule

je crois que je vais l'enlever meme si j'hesite je verrais bien

juste une question lequel des logiciel est le mieux

NOD 32 ou AVIRA antivir

Je te demande ca parceque tu m'a conseillé de supprimer le premier ?

 

en attendant je lance le scan de avira anitivir

et je te tient au courant , pour l'instant cela me semble bien partie

[angelique]

je crois que je vais l'enlever meme si j'hesite je verrais bien

juste une question lequel des logiciel est le mieux

NOD 32 ou AVIRA antivir

Je te demande ca parceque tu m'a conseillé de supprimer le premier ?

 

Tu as la réponse dans ta question

[xwp1]

antivir n'a rien trouvé .

J'ai redemmaré mon ordi et tout semble fonctionner , le bureau s'affiche , la barre d'etat aussi .C'est nickel

j'espere que cela va durer

merci beaucoup pour ton aide et merci pour l'attention que tu m'a accordé .

je vais peut etre revenir sur le forum pour mon autre pc bureau qui m'affiche de drole de choses .

[angelique]

antivir n'a rien trouvé .

J'ai redemmaré mon ordi et tout semble fonctionner , le bureau s'affiche , la barre d'etat aussi .C'est nickel

j'espere que cela va durer

merci beaucoup pour ton aide et merci pour l'attention que tu m'a accordé .

je vais peut etre revenir sur le forum pour mon autre pc bureau qui m'affiche de drole de choses .

 

si tu veux que ça dure , ne va pas sur les sites à risques [cracks, Porn....], ne telecharge pas de programmes à 2 balles sans t'etre au préalable informé de sa légitimité, les archives que tu telecharges sur ta secte de P2Pistes , leur petit exe qui les accompagne sont dans 99% des cas des droppers , des infections.... il FAUT les scanner avec certes antivir avant de les ouvrir mais aussi chez:

http://virusscan.jotti.org/

ou

http://www.virustotal.com/fr/

 

pour avoir une analyse objective de l'archive, meme si c'est pas détecté c'est pas forcément non-infecté mais pas encore détecté , donc à toi de voir les risques encourus......

 

@ +